服务需求及技术要求

服务需求及技术要求一、项目概况依据《中华人民共和国网络安全法》《信息安全等级保护管理办法》的相关要求，对安庆职业技术学院重要信息系统进行网络安全等级保护测评，包括：安全技术测评，安全管理测评，工具测试，编制系统安全整改方案，编制和完善安全管理制度等。二、项目实施范围本次参于网络安全等级保护测评的系统如下：序号待测系统名称安全保护等级备注1网站群信息系统二级2邮件系统二级3数字校园系统二级4图书管理系统二级5财务系统二级三、指导思想和基本准则根据公安部、国家保密局、国家密码管理局、国信办联合印发的《信息系统安全等级保护管理办法》（公通字〔2007〕43号）、《关于信息系统安全等级保护工作的实施意见》（公通字〔2004〕66号）、《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安〔2007〕861号）、公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）、国家发改委《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071号），以及安徽省发改委《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]967号）等文件精神，结合安庆职业技术学院工作实际，现拟对安庆职业技术学院重要信息系统实施网络安全等级保护测评，以进一步完善信息系统安全管理体系和技术防护体系，切实提高系统信息安全防护能力。四、等级保护测评主要包括以下几个方面：等保测评：完成包括安全物理环境、安全计算环境、安全区域边界、安全通信网络、安全管理中心和安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理方面的测评工作；工具测试：针对重要信息系统进行定期的漏洞扫描、渗透测试等安全服务工作；整改建议：投标人应根据现场测评中发现的问题，分析与GB/T22239-2019、ISO/IEC27001、ISO/IEC20000、ISO22301、ITIL和ITSS等行业最佳实践之间的差距，按照网络安全等级保护标准要求提出安全整改建议；编制测评报告：完成上述测评工作和整改加固实施后，投标人最后出具符合标准要求的各信息系统网络安全等级保护测评报告。五、信息安全培训：信息安全培训：为提高信息化人才队伍的安全意识和专业技能，响应人需对采购人提供信息安全培训，培训内容分为公共培训和专业培训。信息安全技术培训由具备培训资格的讲师参考注册信息安全专业人员（CISP）、信息安全保障人员（CISAW）等安全技能培训认证课程内容授课，确保管理人员和技术人员掌握关于信息系统等级保护相关规范、信息安全策略、信息保密制度，信息安全管理制度和相关流程等。专业培训包括2个CISP（注册信息安全专业人员）培训名额。六、工作要求：实施原则规范性原则：成交供应商工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制；标准性原则：测评方案的设计与实施应依据国家等级保护的相关标准进行。可控性原则：测评的工具、方法和过程需在双方认可的范围之内并符合进度表的安排，保证采购人对服务工作的可控性；整体性原则：测评和分析的范围和内容应当整体全面，包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患；最小影响原则：测评工作应尽可能小的影响系统和网络的正常运行，不能对现网的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断)，如无法避免，则应预先做出说明并经采购人同意后实施，在项目实施过程中，需有可行性的风险规避处置措施保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害采购人网络的行为，否则采购人有权追究责任。测评依据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）《信息安全技术网络安全等级保护定级指南》（GB/T22240-2020）《信息安全技术网络安全等级保护测评要求》（GB/T28448-2019）《信息安全技术网络安全等级保护测评过程指南》（GB∕T28449-2018）等级保护测评内容等级保护测评内容根据国家等级保护相关标准，本次项目的网络安全等级保护测评应包括以下内容：安全技术测评：包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评；安全管理测评：包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评。安全物理环境安全物理环境是对机房和办公场所的物理环境安全防护情况进行测评，包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面的安全状况。安全通信网络安全通信网络测评是对网络系统安全防护情况进行测评，包括网络架构、通信传输、可信验证等方面的安全状况。安全区域边界安全区域边界是对边界防护、访问控制、入侵防范、恶意代码防范、安全审计、可信验证等方面的测评。安全计算环境安全计算环境是对身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等方面的测评。安全管理中心安全管理中心是对系统管理、审计管理、安全管理、集中管控等方面的测评。安全管理制度安全管理制度测评是对安全策略、管理制度、制定和发布、评审和修订进行测评。安全管理机构安全管理机构测评是对岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等情况进行测评。安全管理人员安全管理人员测评是对人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等情况进行测评。安全建设管理安全建设管理测评是对建设过程中的系统定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择等情况进行测评。安全运维管理安全运维管理测评是对环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理等情况进行测评。七、报价要求本项目报总价，报价包含完成本项目服务期间所产生的一切费用（含验收费用）。八、人员配备成交供应商需根据测评业务系统的数量自行评估并配置测评实施团队。测评实施团队在合同约定期内派驻采购人到指定地点办公；成交供应商需保证在实施阶段主要技术人员必须是全